Blossey & Partner
Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen
Großraum Berlin
Berliner Straße 9
06886 Wittenberg
Telefon:
+49 98 56 - 92 19 991
Kontakt | Impressum | Datenschutz
© Blossey & Partner Datenschutzberatung
Datenschutz
.Autoren: Kerstin Blossey, Oliver Kempkens - (c) Blossey & Partner,
erschienen in Hakin9 3/2008
In diesem Artikel erfahren Sie...Was Datenschutz in der Arbeitspraxis meint;
Rahmendaten zum Thema; Schlüsselfaktoren (nach Bundesdatenschutzgesetz);
Die Bedeutung des betrieblichen DSB ;..dass Datenschutz sogar etwas bringt.
Was Sie vorher wissen/können sollten...Keine Vorkenntnisse erforderlich.
Datenschutz ist in aller Munde: Kaum eine technische Abhandlung, die einem breiteren Publikum gerecht werden soll, ohne diesen Begriff. Doch Hintergründe, Fakten und wertvolle Impulse für die Arbeitspraxis bleiben nur allzu oft im Dunkeln. Deshalb widmet HAKIN9 diesem Thema ab sofort eine eigene Rubrik.
Der Begriff Datenschutz an sich ist verwirrend, denkbar unkonkret und sogar irreführend. Das belegen allein die vielfältigen Definitionen, die je nach Herkunft ihres Schöpfergeistes sehr unterschiedlich geprägt sein können und selten zufriedenstellend sind. Datenschutz im Sinne des Bundesdatenschutzgesetzes (BDSG) – und darauf als sachlich-rechtliche Grundlage beschränkt sich dieser Artikel – meint weniger den Schutz von Daten als viel mehr den Schutz, von dem was Sinn macht, dem Schutz der Privatsphäre des Menschen. Daten-Schutz ist dabei ein ebenso technisch wie organisatorisch zu betrachtender Teilaspekt.
Datenschutz – gesetzliche Anforderung an alle
Mit dem Gesetz zur Änderung des Bundesdaten-schutzgesetzes vom 23. Mai 2001 wurde die EU-Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Deutschland umgesetzt. Dies geschah jedoch erst, nachdem ein Vertragsverletzungsverfahren der EU-Kommission gestartet wurde, da Deutschland nicht innerhalb der Drei-Jahres-Frist die Richtlinie in nationales Recht umgesetzt hatte. Seither sind bundesweit alle Stellen, unabhängig davon ob öffentlich, halb-öffentlich oder privatwirtschaftlich, zum angemessenen Schutz personenbezogener Daten gesetzlich verpflichtet. Über die Einhaltung des Bundesdatenschutzgesetzes (BDSG) wachen die Bundes- und Aufsichtsbehörden. Zunehmenden Einfluss gewinnen inzwischen die Verbraucherverbände, die nicht zuletzt für wachsende Aufmerksamkeit für die Thematik in den Medien sorgen. Verstöße gegen das BDSG können mit Bußgeldern von bis zu 250.000 Euro und sogar mit Freiheitsstrafen bis zu zwei Jahren (§§ 43, 44 BDSG) geahndet werden. Den Stein ins bundesdeutsche Rollen brachte das viel zitierte Volkszählungs-Urteil von 1983. Anlass war ein Gesetz zur geplanten Totalerfassung der Bundesbürger, das neben den üblichen Stammdaten auch weitere Datenerhebung vorsah. Außer dem Hamburger Senat hielten dieses alle Landesregierungen sowie die Bundesregierung für rechtmäßig. Erst das Bundesverfassungsgericht machte hier mit seinem Urteil vom 15. Dezember 1983 (BVerfGE 65, 1) der Bundesregierung einen kräftigen Strich durch die Rechnung und erklärte das Gesetz kurzerhand für verfassungswidrig, da das Recht auf informationelle Selbstbestimmung der Bundesbürger verletzt würde. So kam es dazu, dass der für 1983 geplante Zensus modifiziert erst 1987 durchgeführt werden konnte. Seitdem ist der Datenschutz in aller Munde, wirtschaftlich wie politisch ein hoch sensibles und fachlich anspruchsvolles Thema, das alle Stellen betrifft, die personenbezogenen Daten nicht zu rein privaten Zwecken automatisiert verarbeiten.
Personenbezogene Daten
Im April 2006 fällte der Bundesgerichtshof ein richtungweisendes Urteil, indem er Kundendaten als Geschäftsgeheimnis einstufte und in einem konkreten Fall eine Freiheitsstrafe von sogar fünf Jahren bestätigte (AZ I ZR 126/03). Auch wenn sich die Urteilsbegründung überwiegend auf das UWG als dem in diesem Fall vorrangigen Gesetz stützt, gewinnt doch der Datenschutz hier enorm an Bedeutung für wirtschaftlich orientierte Unternehmen. Kundendaten werden als personenbezogene Informationen im Sinne des BDSG eingestuft und sind mit angemessenem Aufwand ausreichend vor möglichem Missbrauch zu schützen. Eine Haftung kann insofern nicht nur dem beteiligten Personal zugesprochen werden, sondern auch dem so genannten Herrn der Daten , also der vertretungsberechtigten Geschäftsleitung, die in diesem Fall ihre Kundendaten unzureichend vor genau solchen Übergriffen geschützt hat. Zusätzlich hätte im obigen Fall auch die Geschäftsleitung der Stelle, die solche Kundendaten angenommen hätte, mit einer Anzeige rechnen müssen. Den Kopf weiter in den Sand zu stecken, kann vor diesem Hintergrund gerade das leitende Management künftig teuer zu stehen kommen, zumal der behandelte Fall keineswegs als exotisch betrachtet werden kann. Eine sinnvolle und auf die zum Datenschutz verpflichtete Stelle zugeschnittene Datenschutzorganisation kann dagegen mit sehr überschaubarem Aufwand aufgebaut und integriert werden. Hier wird – inzwischen unter anderem auch durch professionelle IT-Sicherheit-Fachleute – zunehmend zur Inanspruchnahme eines kompetenten und vertrauenswürdigen externen Dienstleisters geraten. Die Vorteile liegen vor allem in der Unabhängigkeit eines Externen zum Unternehmen, die durch die größere Objektivität unternehmensorientiertere Lösungen erarbeiten kann und darüber hinaus nicht an der üblichen Betriebsblindheit leidet. So gehen nur selten wichtige Aspekte eines angemessenen Sicherheits- und Datenschutzmanagements unter.
Gesetzliche technisch-organisatorische Anforderungen
Für Daten verarbeitende Unternehmen finden sich in der Anlage 2 zu § 9 BDSG die acht Gebote des Datenschutzes. Es sind die folgenden Schlagworte, durch deren Beachtung die technischen und organisatorischen Maßnahmen zu treffen sind, um der Wahrung des Persönlichkeitsrechts im Sinne des Gesetzgebers Rechnung zu tragen:
Rahmendaten zum Thema; Schlüsselfaktoren (nach Bundesdatenschutzgesetz);
Die Bedeutung des betrieblichen DSB ;..dass Datenschutz sogar etwas bringt.
Was Sie vorher wissen/können sollten...Keine Vorkenntnisse erforderlich.
Datenschutz ist in aller Munde: Kaum eine technische Abhandlung, die einem breiteren Publikum gerecht werden soll, ohne diesen Begriff. Doch Hintergründe, Fakten und wertvolle Impulse für die Arbeitspraxis bleiben nur allzu oft im Dunkeln. Deshalb widmet HAKIN9 diesem Thema ab sofort eine eigene Rubrik.
Der Begriff Datenschutz an sich ist verwirrend, denkbar unkonkret und sogar irreführend. Das belegen allein die vielfältigen Definitionen, die je nach Herkunft ihres Schöpfergeistes sehr unterschiedlich geprägt sein können und selten zufriedenstellend sind. Datenschutz im Sinne des Bundesdatenschutzgesetzes (BDSG) – und darauf als sachlich-rechtliche Grundlage beschränkt sich dieser Artikel – meint weniger den Schutz von Daten als viel mehr den Schutz, von dem was Sinn macht, dem Schutz der Privatsphäre des Menschen. Daten-Schutz ist dabei ein ebenso technisch wie organisatorisch zu betrachtender Teilaspekt.
Datenschutz – gesetzliche Anforderung an alle
Mit dem Gesetz zur Änderung des Bundesdaten-schutzgesetzes vom 23. Mai 2001 wurde die EU-Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Deutschland umgesetzt. Dies geschah jedoch erst, nachdem ein Vertragsverletzungsverfahren der EU-Kommission gestartet wurde, da Deutschland nicht innerhalb der Drei-Jahres-Frist die Richtlinie in nationales Recht umgesetzt hatte. Seither sind bundesweit alle Stellen, unabhängig davon ob öffentlich, halb-öffentlich oder privatwirtschaftlich, zum angemessenen Schutz personenbezogener Daten gesetzlich verpflichtet. Über die Einhaltung des Bundesdatenschutzgesetzes (BDSG) wachen die Bundes- und Aufsichtsbehörden. Zunehmenden Einfluss gewinnen inzwischen die Verbraucherverbände, die nicht zuletzt für wachsende Aufmerksamkeit für die Thematik in den Medien sorgen. Verstöße gegen das BDSG können mit Bußgeldern von bis zu 250.000 Euro und sogar mit Freiheitsstrafen bis zu zwei Jahren (§§ 43, 44 BDSG) geahndet werden. Den Stein ins bundesdeutsche Rollen brachte das viel zitierte Volkszählungs-Urteil von 1983. Anlass war ein Gesetz zur geplanten Totalerfassung der Bundesbürger, das neben den üblichen Stammdaten auch weitere Datenerhebung vorsah. Außer dem Hamburger Senat hielten dieses alle Landesregierungen sowie die Bundesregierung für rechtmäßig. Erst das Bundesverfassungsgericht machte hier mit seinem Urteil vom 15. Dezember 1983 (BVerfGE 65, 1) der Bundesregierung einen kräftigen Strich durch die Rechnung und erklärte das Gesetz kurzerhand für verfassungswidrig, da das Recht auf informationelle Selbstbestimmung der Bundesbürger verletzt würde. So kam es dazu, dass der für 1983 geplante Zensus modifiziert erst 1987 durchgeführt werden konnte. Seitdem ist der Datenschutz in aller Munde, wirtschaftlich wie politisch ein hoch sensibles und fachlich anspruchsvolles Thema, das alle Stellen betrifft, die personenbezogenen Daten nicht zu rein privaten Zwecken automatisiert verarbeiten.
Personenbezogene Daten
Im April 2006 fällte der Bundesgerichtshof ein richtungweisendes Urteil, indem er Kundendaten als Geschäftsgeheimnis einstufte und in einem konkreten Fall eine Freiheitsstrafe von sogar fünf Jahren bestätigte (AZ I ZR 126/03). Auch wenn sich die Urteilsbegründung überwiegend auf das UWG als dem in diesem Fall vorrangigen Gesetz stützt, gewinnt doch der Datenschutz hier enorm an Bedeutung für wirtschaftlich orientierte Unternehmen. Kundendaten werden als personenbezogene Informationen im Sinne des BDSG eingestuft und sind mit angemessenem Aufwand ausreichend vor möglichem Missbrauch zu schützen. Eine Haftung kann insofern nicht nur dem beteiligten Personal zugesprochen werden, sondern auch dem so genannten Herrn der Daten , also der vertretungsberechtigten Geschäftsleitung, die in diesem Fall ihre Kundendaten unzureichend vor genau solchen Übergriffen geschützt hat. Zusätzlich hätte im obigen Fall auch die Geschäftsleitung der Stelle, die solche Kundendaten angenommen hätte, mit einer Anzeige rechnen müssen. Den Kopf weiter in den Sand zu stecken, kann vor diesem Hintergrund gerade das leitende Management künftig teuer zu stehen kommen, zumal der behandelte Fall keineswegs als exotisch betrachtet werden kann. Eine sinnvolle und auf die zum Datenschutz verpflichtete Stelle zugeschnittene Datenschutzorganisation kann dagegen mit sehr überschaubarem Aufwand aufgebaut und integriert werden. Hier wird – inzwischen unter anderem auch durch professionelle IT-Sicherheit-Fachleute – zunehmend zur Inanspruchnahme eines kompetenten und vertrauenswürdigen externen Dienstleisters geraten. Die Vorteile liegen vor allem in der Unabhängigkeit eines Externen zum Unternehmen, die durch die größere Objektivität unternehmensorientiertere Lösungen erarbeiten kann und darüber hinaus nicht an der üblichen Betriebsblindheit leidet. So gehen nur selten wichtige Aspekte eines angemessenen Sicherheits- und Datenschutzmanagements unter.
Gesetzliche technisch-organisatorische Anforderungen
Für Daten verarbeitende Unternehmen finden sich in der Anlage 2 zu § 9 BDSG die acht Gebote des Datenschutzes. Es sind die folgenden Schlagworte, durch deren Beachtung die technischen und organisatorischen Maßnahmen zu treffen sind, um der Wahrung des Persönlichkeitsrechts im Sinne des Gesetzgebers Rechnung zu tragen:
• Unbefugten ist der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).
• Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).
• Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
• Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeits-kontrolle).
• Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Datentrennungsgebot).
Bei der Umsetzung ist insbesondere die Angemessenheit der Maßnahmen im Bezug auf die Daten verarbeitende Stelle, ihre Arbeitsweise und Geschäftsprozesse sowie die Bedürfnisse, die sich aus der individuell tatsächlich gegebenen Infrastruktur (inkl. Personal) ableiten, zu achten. Aus diesem Grund unterscheidet das BDSG technische (EDV, IT etc.) und organisatorische Aspekte (Faktor Mensch).
• Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).
• Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
• Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
• Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeits-kontrolle).
• Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Datentrennungsgebot).
Bei der Umsetzung ist insbesondere die Angemessenheit der Maßnahmen im Bezug auf die Daten verarbeitende Stelle, ihre Arbeitsweise und Geschäftsprozesse sowie die Bedürfnisse, die sich aus der individuell tatsächlich gegebenen Infrastruktur (inkl. Personal) ableiten, zu achten. Aus diesem Grund unterscheidet das BDSG technische (EDV, IT etc.) und organisatorische Aspekte (Faktor Mensch).
Der gesamte Artikel steht Ihnen als pdf zum Download zur Verfügung.
(462 KB)
(462 KB)